nov 27, 2020
37 Pregledi
0 0

Taktika u kojoj napadači koriste softver i alate koji već postoje u okruženju žrtve

Objavio:

Napadi su se dogodili 2019. godine, a nastavili su se i u 2020. godini, ciljajući organizacije u sektorima medija, građevinarstva, inženjeringa, elektronike i finansija. Primetili smo da je grupa koristila prethodno nepoznat malver u tim napadima.Tim lovaca na pretnje iz Symanteca, divizije Broadcoma, otkrio je novu špijunsku kampanju koju sprovodi Palmerworm grupa (poznata i pod imenom BlackTech) koja koristi potpuno novi paket prilagođenog malvera i cilja organizacije u Japanu, na Tajvanu, u SAD i Kini.Taktika, alatke i procedurePrimećeno je da Palmerworm u ovim napadima koristi kako alate s dvostrukom namenom, tako i prilagođeni malver.U ovoj kampanji, Palmerworm koristi kombinaciju prilagođenog malvera, alata s dvostrukom namenom i living off the land taktiku (taktika u kojoj napadači koriste softver i alate koji već postoje u okruženju žrtve). Palmerworm grupa je aktivna barem od 2013., dok je prva aktivnost u ovoj kampanji zabeležena avgusta 2019. godine.•Backdoor.ConsockMeđu porodicama prilagođenog malvera koje smo videli da koriste, našli su se:•Backdoor.Dalwit•Backdoor.WashipNije primećeno da je grupa koristila ove malver porodice u prethodnim napadima – moguće je da su to novorazvijeni alati, ili evolucija starijih Palmerworm alata. Malver koji je Palmerworm koristio u prošlosti uključivao je:•Backdoor.Nomri•Backdoor.Pled•Backdoor.KivarsPored četiri pomenuta backdoora, takođe smo primetili da grupa koristi prilagođeni loading alat i alat za izviđanje mreže, koje Symantec detektuje kao trojanca i Hacktool. Grupa je takođe koristila nekoliko alata dvostruke namene, uključujući:Prilagođeni malver koji je grupa koristila u ovoj kampanji nije poznat od ranije, ali drugi elementi napada imaju sličnosti sa prošlim Palmerworm kampanjama, što nas dovodi do zaključka da ista grupa sprovodi ovu kampanju.•PSExec – legitiman Microsoftov alat koji napadači mogu da zloupotrebe za bočno kretanje kroz mrežu žrtve•Putty – može se koristiti za daljinsko pristupanje, kako bi se izvukli podaci i poslali napadačima•WinRAR – alatka za arhiviranje koja se može koristiti za komprimovanje datoteka (potencijalno radi lakšeg slanja nazad napadačima) kao i za izdvajanje datoteka iz zipovanih foldera.•SNScan – ovaj alat se može koristiti za izviđanje mreže, za pronalaženje drugih potencijalnih meta na mrežama žrtaveU ovoj kampanji, Palmerworm takođe koristi ukradene sertifikate za potpisivanje kôda kojim potpisuju svoj payload, što čini da payload izgleda legitimnije, a samim tim i da ga bezbednosni softver teže otkriva. Od ranije je poznato javnosti da je Palmerworm koristio ukradene sertifikate za potpisivanje kôda u prethodnim napadačkim kampanjama.Sve ove alate sa dvostrukom namenom često eksploatišu maliciozni akteri poput Palmerworma, a primećeno je i to da APT grupe (Advanced Persistent Threat – napredne perzistentne pretnje), poslednjih godina sve više koriste living off the land taktiku uz korišćenje alata sa dvostrukom namenom. Ovi alati obezbeđuju napadačima dobar stepen pristupa sistemima žrtava bez potrebe da kreiraju komplikovani prilagođeni malver koji se lakše može povezati s određenom grupom.ŽrtveSymantec je identifikovao više žrtava u ovoj kampanji, u brojnim industrijama, uključujući medije, građevinarstvo, inženjering, elektroniku i finansije. Sve medijske, elektronske i finansijske kompanije bile su stacionirane na Tajvanu, sedište inženjerske kompanije bilo je u Japanu, a građevinska kompanija u Kini. Očigledno je da Palmerworm ima veliko interesovanje za kompanije u ovom regionu istočne Azije.Nismo utvrdili koji je vektor infekcije Palmerworm koristio za dobijanje inicijalnog pristupa mrežama žrtava u ovoj kampanji, ali znamo da je u prošlosti grupa koristila ciljane, “spear-phishing” imejlove kako bi obezbedila pristup mrežama žrtava.Aktivnosti Palmerworma prvi put su primećene u avgustu 2019. godine, kada je aktivnost uočena na mreži tajvanske medijske kompanije i građevinske kompanije u Kini. Grupa je ostala aktivna na mreži te medijske kuće godinu dana, a aktivnost na nekim mašinama u toj zemlji nedavno je zabeležena u avgustu 2020. godine.Takođe smo posmatrali aktivnosti Palmerworm grupe u SAD, međutim, nismo uspeli da identifikujemo sektor kompanija koje su bile na meti.Finansije, mediji i građevinska industrija, čini se, predstavljaju sektore od najvećeg interesa za Palmerworm u ovoj kampanji. Ranije je bilo prijava Palmerworm napada na medijski sektor.Palmerworm je takođe nekoliko meseci bio prisutan na mrežama građevinske i finansijske kompanije. Međutim, grupa je provela samo nekoliko dana na mreži japanske inženjerske kompanije u septembru 2019. godine, a nekoliko nedelja na mreži jedne kompanije za elektroniku u martu 2020. godine. Provela je oko šest meseci na jednoj od američkih mašina na kojima smo posmatrali aktivnost.Kako da znamo da je ovo Palmerworm?Šta napadači žele?Iako se ne može videti šta je Palmerworm izvukao od ovih žrtava, smatra se da se radi o špijunskoj grupi i najverovatnije joj je motiv krađa informacija od ciljanih kompanija.Korišćenje alata dvostruke namene od strane grupe takođe je viđeno u prethodnim kampanjama u kojima je Palmerworm identifikovan kao akter, dok je lokacija njenih žrtava takođe tipična za geografsku regiju koju je Palmerworma ciljao tokom pređašnjih kampanja. Upotreba ukradenih sertifikata za potpisivanje kôda takođe je primećena u prethodnim napadima Palmerworma. Svi ovi faktori jasno govore da ovu aktivnost možemo pripisati Palmerwormu.Iako prilagođeni malver koji je korišćen u ovom napadu nije malver koji je Palmerworm ranije koristio, neke od uzoraka identifikovanih u ovom istraživanju drugi vendori detektuju kao PLEAD, a to je poznata Palmerworm (Blacktech) porodica malvera. Takođe smo otkrili i korišćenje infrastrukture koja je ranije pripisivana Palmerwormu.ZaključakAPT grupe su i dalje veoma aktivne u 2020. godini, a upotreba alata dvostruke namene i „living off the land“ taktike čini sve težim otkrivanje njihove aktivnosti. To naglašava potrebu za sveobuhvatnim bezbednosnim rešenjem koje je sposobno da otkrije ovu vrstu aktivnosti.Symantec ne pripisuje Palmerwormovu aktivnost bilo kojoj specifičnoj geografskoj regiji, međutim tajvanski zvaničnici su javno izjavili da veruju da Blacktech, koji mi vodimo pod imenom Palmerworm, ima podršku kineske vlade.•Backdoor.ConsockZaštitaTrenutno su dostupne sledeće mere zaštite za klijenata od Palmerworm aktivnosti:•Backdoor.Dalwit•Backdoor.Waship•Backdoor.Kivars•Backdoor.Nomri•Hacktool (alat za hakovanje)•Backdoor.PledTim lovaca na pretnje čini grupa stručnjaka za bezbednost unutar Symanteca čija je misija da istražuju ciljane napade, doprinesu unapređenju zaštite u Symantec proizvodima i prezentuju analize koje pomažu klijentima da adekvatno odgovore na napade.•Trojan Horse (Trojanski konj)



Kliknite ovde da biste vest pročitali na sajtu Biznis i finansije

Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta Biznis i finansije. Nije preneta ručno, niti proverena od strane uredništva portala biznis24.rs, već je preneta automatski, računajući na savesnost i dobru nameru sajta Biznis i finansije. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava – molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.

Kategorija članka:
Biznis

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *